Die DSGVO tritt in Kraft: Das müssen Modehändler beachten

In wenigen Tagen wird sich mit Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (DSGVO) die Gesetzeslage zum Datenschutz in Europa grundlegend verändern. Mit der Verordnung müssen sich alle beschäftigen, die personenbezogene Daten von EU-Bürgern verarbeiten, was Hersteller, Händler und Dienstleister innerhalb der EU ebenso betrifft wie Unternehmen außerhalb der EU, die hier Dienstleistungen und Waren anbieten. Welche Auswirkungen wird die neue Gesetzgebung auf den Modehandel haben, was ist besonders zu beachten und was wird nach dem 25. Mai passieren? Wir haben Georg Grünhoff darüber befragt, Rechtsanwalt (Syndikusrechtsanwalt) und Abteilungsleiter für Produktsicherheits-, Datenschutz- und Verbraucherrecht beim Handelsverband Deutschland – HDE e. V.

Grundsätzlich gesprochen: Hilft die DSGVO dem Handel oder hindert sie ihn?

Die DSGVO wirft für die praktische Umsetzung zahlreiche Fragen auf, die auch von den Aufsichtsbehörden nicht eindeutig beantwortet werden können. Daher sorgt sie im Handel für Rechtsunsicherheiten und erheblichen Beratungsbedarf. Dies wirkt für das Geschäft eher behindernd als hilfreich.

Welche Bereiche innerhalb des Einzelhandels betrifft die Verordnung besonders?

Betroffen sind alle Branchen und Vertriebsformen des Einzelhandels. Besondere Relevanz haben Fragen zur Datenverarbeitung natürlich im Online-Handel. Die Datenschutzerklärung muss angepasst und die Newsletterbestellung überprüft werden. Auch auf Tracking unter Einsatz von Cookies hat die Datenschutzgrundverordnung Auswirkungen. Aber auch der stationäre Einzelhandel ist stark von den Änderungen betroffen, so zum Beispiel bei der Videoüberwachung, beim Beschäftigtendatenschutz und neuen Informationspflichten.

Die DSGVO tritt in Kraft: Das müssen Modehändler beachten

Welche Punkte sind aus Ihrer Sicht besonders wichtig für den Mode-Einzelhandel?

Besonders dringend sind die Anpassung der Datenschutzerklärung auf der Homepage und die Einwilligungserklärung beim Newsletterversand. Hier besteht aufgrund der leichten Zugänglichkeit das größte Abmahnrisiko.

Ganz generell besteht künftig eine Rechenschaftspflicht für Unternehmen, dass sie die Datenschutzbestimmungen eingehalten haben. Um das nachzuweisen, sollten alle datenschutzrelevanten Vorgänge und Schutzmaßnahmen ausführlich dokumentiert werden.

Für bestimmte Datenverarbeitungen, z.B. für eine Videoüberwachung von gewissem Umfang, wird eine Abschätzung der Folgen der vorgesehenen Datenverarbeitung für den Schutz der personenbezogenen Daten neu eingeführt. Verzeichnisse über Verarbeitungstätigkeiten müssen überarbeitet oder neu erstellt werden. Wenn Daten durch Drittunternehmen im Auftrag des Händlers verarbeitet werden, müssen die Verträge an das neue Recht angepasst werden.

Die Datenschutzgrundverordnung sieht für viele Verstöße hohe Geldbußen vor, von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Umsatzbasierte Strafen sind für den Einzelhandel mit seinen geringen Margen besonders kritisch. Zudem spielt der Umgang mit Daten von Kunden und Beschäftigten in der Öffentlichkeit eine immer bedeutendere Rolle. Daher ist es unabdingbar, die eigenen Datenverarbeitungsvorgänge auf ihre Rechtskonformität nach der Datenschutzgrundverordnung und dem neuen Bundesdatenschutzgesetz zu überprüfen.

Loyalty Cards sind unter Modehändlern sehr beliebt. Was muss der Händler beachten?

Üblicherweise werden die Kundendaten auf Basis einer Einwilligung verarbeitet. Hier stellt sich die Frage, ob die bisher eingeholten Einwilligungen auch künftig weitergenutzt werden dürfen. Das ist möglich, wenn sie den Maßstäben der Datenschutzgrundverordnung entsprechen. Das muss im Einzelfall geprüft werden.

Neu ist das Recht auf Datenübertragbarkeit: Kunden haben gegenüber dem Händler das Recht, die sie betreffenden Daten zu erhalten, um sich zu einem anderen Anbieter mitzunehmen. Es müssen aber vom Händler nur solche Daten herausgegeben werden, die die betroffene Person bewusst und aktiv selbst oder durch Nutzung eines Services bereitgestellt hat. Eigene Auswertungen und Ableitungen aus den bereitgestellten Daten fallen hingegen nicht unter den Anspruch auf Übertragbarkeit. Auch wenn wir nicht damit rechnen, dass in der Praxis viele Kunden im Zusammenhang mit Kundenkarten von dem Recht auf Datenübertragbarkeit Gebrauch machen, müssen Einzelhändler technisch in der Lage sein eine Übertragung von Kundenkarten auf Anforderung des Kunden durchzuführen.

Newsletter gehören auch zum gängigen Marketing-Repertoire. Was ist da zu beachten?

Grundsätzlich ist auch nach dem 25. Mai 2018 weiter eine Einwilligung erforderlich, allerdings muss sie durch eine „eindeutig bestätigende Handlung“ erfolgen. Das heißt, dass (wie bisher) ein „Opt-Out“ (Abbestellen) nicht ausreicht. Das aktive Setzen eines Häkchens während eines Bestellprozesses reicht dagegen grundsätzlich aus. Es sollte geprüft werden, ob der Text der Einwilligungserklärung den neuen Anforderungen entspricht.

Auch beim Newsletterversand ist die Fortgeltung der bisher erteilten Einwilligungen zu prüfen. Wenn die Anforderungen nicht erfüllt werden, können Händler die Kunden rechtzeitig um eine neue Einwilligung nach den Vorgaben der Datenschutzgrundverordnung bitten.

Wie sieht es aus mit dem Tracken von Smartphones im Store oder in der Nähe des Stores?

Es zeichnet sich bereits ab, dass die rechtliche Bewertung des Trackings online wie offline umstritten ist. Die Datenschutzaufsichtsbehörden haben gerade eine Positionsbestimmung verabschiedet, nach der für Online-Tracking ab dem 25. Mai eine Einwilligung erforderlich sein soll. Unklar ist aktuell, ob dies auch für das Offline-Tracking gilt. Aus Sicht des HDE ist eine Einwilligung beim Offline-Tracking (Tracking im Store) in der Praxis kaum einzuholen.

Was ist Ihr Eindruck: Beunruhigt das Thema den Einzelhandel gerade?

Das Thema beschäftigt die Einzelhändler, denn sie möchten sich rechtskonform verhalten und auf die neue Rechtslage vorbereitet sein. Leider ist dieses Ziel aufgrund des Umfangs und der bestehenden Unsicherheit über die Auslegung der Regelungen de facto nur begrenzt zu erreichen. Deshalb gibt es auch eine gewisse verständliche Nervosität, bis durch die Verwaltungspraxis mit der Zeit Rechtsklarheit hergestellt sein wird.

Was raten Sie denjenigen, die sich bisher noch nicht damit beschäftigt haben?

Sie sollten schnell damit beginnen und sich nicht scheuen, gegebenenfalls auch externen Rat von Profis in Anspruch zu nehmen. Die Umsetzung der Datenschutzgrundverordnung im Unternehmen ist eine umfangreiche und komplexe Aufgabe, die von einem Laien kaum innerhalb kurzer Zeit vollständig beherrscht werden kann. Es gibt viele Materialien der Aufsichtsbehörden zum Einstieg in das Thema, auch der HDE bietet seinen Mitgliedern Informationen an.

Wie erkennen Kunden, ob ein Händler ihre Daten ordnungsgemäß behandelt?

Verstöße gegen die datenschutzrechtlichen Vorschriften werden mit hohen Bußgeldern sanktioniert. Der Kunde kann daher grundsätzlich darauf vertrauen, dass sich der Händler rechtskonform verhält.

Womit rechnen Sie ab dem 25. Mai?

Ab dem 25. Mai beginnt ein langer und mühsamer Prozess, in dessen Verlauf die praxisrelevanten Fragen für die Anwendung der neuen Vorschriften geklärt werden müssen. Der Handel, aber auch die Aufsichtsbehörden und die Rechtsprechung stehen noch vor erheblichen Herausforderungen.

Fotos: Georg Grünhoff, HDE / FashionUnited